首页 > 数据库技术 > 详细

sqlmap从入门到精通-第三章-3-1 使用sqlmap进行ASP网站进行注入

时间:2020-06-11 22:46:02      阅读:55      评论:0      收藏:0      [点我收藏+]

3.1 使用sqlmap进行ASP网站进行注入

3.1.1 ASP网站获取webshell的思路和方法

1.查看是否有可以直接上传webshell的地方

2.利用IIS文件解析漏洞

3.备份数据库ASP文件

4.恢复数据库

5.绕过对上传文件的验证,直接获取webshell

6.通过查询直接将一句话写入一个文件

3.1.2 目标站点漏洞扫描

1.使用AVWS进行漏洞扫描

2.使用Havij验证SQL注入漏洞

3.1.3 对SQL注入漏洞进行交叉测试

在实际测试过程中通过扫描工具发现漏洞,一般情况都能复现,但是有的时候会根据具体的利用环境而决定,有时候某一个工具测试是否存在SQL注入有问题,并未发现漏洞,那么就需要使用其他相关工具进行交叉测试,实在不行就手工注入测试,可以使用明小子,Havij,Pangolin,啊D,sqlmap等等

1.使用Pangolin进行SQL注入测试

3.1.4 使用SQLMAP进行测试

3.1.5 后渗透时间-获取webshell

1.获取真实路径地址

2.登录后台

3.修改配置文件

4.测试文件上传

5.IIS解析漏洞利用

6.备份数据库

7.测试网页是否正常访问呢

8.对webshell进行测试

9.后记

3.1.6 ASP网站注入安全防御

1.在IIS中设置不显示具体的脚本错误,可以将错误指向某一个特定页面,不泄露具体错误代码的原因

2.在IIS设置中去除其他扩展名,如果没有特别需要,可以设置仅仅执行asp脚本 删除cer,asa等脚本解析

3.通过扫描工具对网站进行漏洞扫描,对存在SQL注入漏洞的地址使用sqlmap进行安全测试,如果存在漏洞则进行修复

4.对源代码进行安全审计,对发现存在漏洞的页面进行再次审核

5.在服务器上安装安全狗,360杀毒等安全防御软件

6.及时更新IIS到最新版本,修复IIS解析漏洞

7.严格目录权限管理,对上传目录设置仅仅读取,无脚本执行权限

 

技术分享图片
 

sqlmap从入门到精通-第三章-3-1 使用sqlmap进行ASP网站进行注入

原文:https://www.cnblogs.com/autopwn/p/13096360.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!